Politique de confidentialité
Dernière mise à jour : mars 2026
OxiFlow accorde une importance primordiale à la protection de vos données personnelles. La présente politique décrit quelles données nous collectons, pourquoi, comment nous les utilisons et quels sont vos droits conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la loi Informatique et Libertés.
1. Responsable du traitement
- Raison sociale : [À COMPLÉTER]
- Adresse : [À COMPLÉTER]
- SIRET : [À COMPLÉTER]
- Email DPO : [À COMPLÉTER] — dpo@oxiflow.fr
2. Données collectées
Nous collectons les catégories de données suivantes :
2.1 Données d'identification et de contact
- Nom et prénom
- Adresse email professionnelle
- Nom de l'entreprise
- Numéro de téléphone (si renseigné)
- Adresse postale (pour la facturation)
2.2 Données de facturation et de paiement
- Informations de facturation (adresse, numéro de TVA)
- Historique des paiements et factures
- Les données de carte bancaire sont traitées exclusivement par Stripe et ne transitent jamais par nos serveurs.
2.3 Données d'utilisation
- Données saisies dans l'application (clients, devis, factures, stocks, etc.)
- Journaux de connexion (adresse IP, horodatage, navigateur)
- Données d'utilisation agrégées (fonctionnalités utilisées, fréquence)
2.4 Données traitées par l'assistant IA
Les requêtes vocales et textuelles transmises à l'assistant OxiFlow sont envoyées à l'API Anthropic pour traitement. Ces données ne sont pas conservées par Anthropic au-delà du traitement de la requête (politique zero data retentiondisponible sur demande).
3. Finalités et base légale
| Finalité | Base légale (RGPD) |
|---|---|
| Fourniture du service SaaS OxiFlow | Exécution du contrat — Art. 6.1.b |
| Facturation et gestion des abonnements | Exécution du contrat — Art. 6.1.b |
| Support client et assistance technique | Exécution du contrat — Art. 6.1.b |
| Envoi d'emails transactionnels (bienvenue, factures, rappels) | Exécution du contrat — Art. 6.1.b |
| Amélioration du service (données agrégées et anonymisées) | Intérêt légitime — Art. 6.1.f |
| Respect des obligations légales et comptables | Obligation légale — Art. 6.1.c |
4. Durée de conservation
| Catégorie | Durée |
|---|---|
| Données de compte actif | Durée de l'abonnement |
| Données après résiliation du compte | 3 ans (prescription commerciale — art. L.110-4 Code de commerce) |
| Données de facturation | 10 ans (obligation comptable — art. L.123-22 Code de commerce) |
| Journaux de connexion | 12 mois (recommandation CNIL) |
| Requêtes IA (Anthropic) | Non conservées au-delà du traitement |
5. Sous-traitants et transferts hors UE
Nous faisons appel aux sous-traitants suivants pour la fourniture du service. Chaque sous-traitant est soumis à un accord de traitement des données (DPA) garantissant la conformité au RGPD.
| Sous-traitant | Rôle | Localisation | Garantie |
|---|---|---|---|
| Supabase | Base de données, authentification | UE (eu-west-1) | DPA, serveurs UE disponibles |
| Vercel | Hébergement applicatif | UE (fra1 — Francfort) | DPA, Data Residency EU |
| Stripe | Paiement et facturation | UE / USA | DPA, Clauses Contractuelles Types (SCC) |
| Resend | Envoi d'emails transactionnels | USA | DPA, SCC |
| Anthropic | API IA (assistant vocal) | USA | DPA, zero data retention |
Les transferts vers les USA sont encadrés par des Clauses Contractuelles Types (CCT/SCC) approuvées par la Commission européenne, conformément à l'article 46 du RGPD.
6. Vos droits
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès (Art. 15) : obtenir une copie des données vous concernant ;
- Droit de rectification (Art. 16) : corriger des données inexactes ou incomplètes ;
- Droit à l'effacement (Art. 17) : demander la suppression de vos données, sous réserve des obligations légales de conservation ;
- Droit à la portabilité (Art. 20) : recevoir vos données dans un format structuré et lisible par machine ;
- Droit d'opposition (Art. 21) : vous opposer à un traitement fondé sur l'intérêt légitime ;
- Droit à la limitation (Art. 18) : demander la suspension temporaire d'un traitement.
Pour exercer vos droits, contactez-nous à dpo@oxiflow.fr. Nous répondrons dans un délai d'un mois. En cas de réponse insatisfaisante, vous pouvez introduire une réclamation auprès de la CNIL(Commission Nationale de l'Informatique et des Libertés) — www.cnil.fr.
7. Cookies
OxiFlow n'utilise aucun cookie de tracking, de publicité ou d'analyse. Seuls des cookies strictement nécessaires au fonctionnement du service sont déposés :
- Cookie de session Supabase: maintien de la connexion de l'utilisateur authentifié. Ce cookie est essentiel au service et ne requiert pas votre consentement (Art. 82 de la loi Informatique et Libertés — exemption CNIL).
- Cookie cookie_consent : mémorisation de la prise de connaissance de la bannière cookies.
Aucun cookie tiers, Google Analytics, pixel Facebook ou outil de surveillance n'est intégré.
8. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données contre toute perte, accès non autorisé, altération ou divulgation. Ces mesures incluent notamment : chiffrement des communications (TLS), isolation des données par tenant (Row Level Security PostgreSQL), authentification sécurisée.
9. Modifications de la présente politique
La présente politique peut être mise à jour. En cas de modification substantielle, vous serez notifié par email au moins 15 jours avant l'entrée en vigueur des changements. La date de dernière mise à jour est indiquée en tête de document.
10. Contact
Pour toute question relative à cette politique ou à vos données personnelles : dpo@oxiflow.fr